摘自《百度百科——密鑰密碼體系》

http://baike.baidu.com/item/%E5%AF%86%E9%92%A5%E5%AF%86%E7%A0%81%E4%BD%93%E7%B3%BB?fromtitle=%E5%AF%86%E9%92%A5%E4%BD%93%E7%B3%BB&type=syn

CA(Certificate Authority)　電子簽證機關(guān)（即CA）。CA也擁有一個證書（內(nèi)含公鑰），當然，它也有自己的私鑰，所以它有簽字的能力。網(wǎng)上的公眾用戶通過驗證CA的簽字從而信任CA，任何人都應(yīng)該可以得到CA的證書（含公鑰），用以驗證它所簽發(fā)的證書。 如果用戶想得到一份屬于自己的證書，他應(yīng)先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給那個用戶（申請者）。 如果一個用戶想鑒別另一個證書的真?zhèn)?#xff0c;他就用CA的公鑰對那個證書上的簽字進行驗證（如前所述，CA簽字實際上是經(jīng)過CA私鑰加密的信息，簽字驗證的過程還伴隨使用CA公鑰解密的過程），一旦驗證通過，該證書就被認為是有效的。 CA除了簽發(fā)證書之外，它的另一個重要作用是證書和密鑰的管理。 由此可見，證書就是用戶在網(wǎng)上的電子個人身份證，同日常生活中使用的個人身份證作用一樣。CA相當于網(wǎng)上公安局，專門發(fā)放、驗證身份證。

摘自《百度百科——CA》

http://baike.baidu.com/link?url=90UUbTOSiu4v4IsJXYwxjQ1At69gtNXCptNQANPYyTmFXFN8H5R3C2wl43XULH99Cqz7mQCI6kkGrVB1EaGq_a

CA（證書管理機構(gòu)）是PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）系統(tǒng)中通信雙方都信任的實體，被稱為可信第三方（Trusted Third Party，簡稱TTP）。CA作為可信第三方的重要條件之一就是CA的行為具有非否認性。作為第三方而不是簡單的上級，就必須能讓信任者有追究自己責任的能力。CA通過證書證實他人的公鑰信息，證書上有CA的簽名。用戶如果因為信任證書而導致了損失，證書可以作為有效的證據(jù)用于追究CA的法律責任。正是因為CA愿意給出承擔責任的承諾，所以也被稱為可信第三方。在很多情況下，CA與用戶是相互獨立的實體，CA作為服務(wù)提供方，有可能因為服務(wù)質(zhì)量問題（例如，發(fā)布的公鑰數(shù)據(jù)有錯誤）而給用戶帶來損失。證書中綁定了公鑰數(shù)據(jù)、和相應(yīng)私鑰擁有者的身份信息，并帶有CA的數(shù)字簽名。證書中也包含了CA的名稱（圖中為LOIS CA），以便于依賴方找到CA的公鑰、驗證證書上的數(shù)字簽名。如圖 1所示。 1 CA簽發(fā)證書 驗證證書的時候，需要得到CA的公鑰。用戶的公鑰可以通過證書來證明，那CA的公鑰如何獲得呢？可以再讓另一個CA來發(fā)證書，但最終總有一個CA的公鑰的獲得過程缺乏證明。PKI技術(shù)并不把這樣一個循環(huán)問題留給自己，而是依賴其它的安全信道來解決。因為CA畢竟不多，可以通過廣播、電視或報紙等公開的權(quán)威的媒介，甚至通過發(fā)布紅頭文件的方式來公告CA的公鑰。 公告CA的公鑰可以有多種形式，為了兼容程序的處理，人們一般也以證書的形式發(fā)布CA的公鑰。CA給自己簽發(fā)一張證書，證明自己擁有這個公鑰，這就是自簽名證書（Self-Signed Certificate）。如圖2所示： 2 CA自簽名證書 與末端實體的證書不一樣，在尚未確定CA公鑰時，CA自簽名證書其實不是真正的數(shù)字證書，而僅僅是擁有證書形式的一個公鑰。所以CA自簽名證書必須從可信的途徑獲取。例如，任何人都可以產(chǎn)生一對公私密鑰對，并聲稱自己就是LOIS CA，然后簽發(fā)一張自簽名證書、并通過網(wǎng)絡(luò)隨意傳播。CA自簽名證書可以通過權(quán)威媒體或面對面USB硬盤等進行傳輸。 用戶擁有CA自簽名證書之后，就可以離線地驗證所有其它末端用戶證書的有效性，獲得其它實體的公鑰、進行安全通信。 CA是負責確定公鑰歸屬的組件，所以CA必須得到大家的信任才能充當這樣的角色，其確定公鑰歸屬的技術(shù)手段也必須是可靠的。CA通過證書方式為用戶提供公鑰的擁有證明，而這樣的證明可以被用戶接受。 在用戶驗證公鑰歸屬的過程中，有數(shù)據(jù)起源鑒別、數(shù)據(jù)完整性和非否認性的安全要求。CA對某公鑰擁有人的公鑰證明必須實現(xiàn)這些安全要求才能夠為公鑰的用戶所接受。首先，不論用戶獲得通信對方公鑰的途徑是什么，他必須確定信息最初始的來源是可信的CA、而不是其它的攻擊者。其次，我們要保證在獲得信息的過程中，信息沒有被篡改、是完整的。最后，公鑰的擁有證明是不可否認的，即通過證書驗證都能夠確保CA不能否認它提供了這樣的公鑰擁有證明。在PKI中，CA也具有自己的公私密鑰對，對每一個“公鑰證明的數(shù)據(jù)結(jié)構(gòu)”進行數(shù)字簽名，實現(xiàn)公鑰獲得的數(shù)據(jù)起源鑒別、數(shù)據(jù)完整性和非否認性。用于公鑰證明的數(shù)據(jù)結(jié)構(gòu)，就是數(shù)字證書。 CA(Certificate Authority)是數(shù)字證書認證中心的簡稱，是指發(fā)放、管理、廢除數(shù)字證書的機構(gòu)。CA的作用是檢查證書持有者身份的合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對證書和密鑰進行管理。 數(shù)字證書實際上是存于計算機上的一個記錄，是由CA簽發(fā)的一個聲明，證明證書主體（"證書申請者"擁有了證書后即成為"證書主體"）與證書中所包含的公鑰的惟一對應(yīng)關(guān)系。證書包括證書申請者的名稱及相關(guān)信息、申請者的公鑰、簽發(fā)證書的CA的數(shù)字簽名及證書的有效期等內(nèi)容。數(shù)字證書的作用是使網(wǎng)上交易的雙方互相驗證身份，保證電子商務(wù)的安全進行。 解 釋: 受委托發(fā)放數(shù)字證書的第三方組織或公司。數(shù)字證書是用來建立數(shù)字簽名和公-私(public-private)密鑰對的。CA在這個過程中所起的作用就是保證獲得這一獨特證書的人就是被授權(quán)者本人。在數(shù)據(jù)安全和電子商務(wù)中，CA是一個非常重要的組成部分，因為它們確保信息交換各方的身份。 CA的層級結(jié)構(gòu)： CA建立自上而下的信任鏈，下級CA信任上級CA，下級CA由上級CA頒發(fā)證書并認證。 CA提供的服務(wù)： 頒發(fā)證書、廢除證書、更新證書、驗證證書、管理密鑰。 CA大概分以下幾種： 1、行業(yè)性CA 金融CA體系、電信CA體系、郵政CA體系、外經(jīng)貿(mào)部CA、 中國海關(guān)CA、中國銀行CA、中國工商銀行CA、中國建設(shè) 銀行CA、招商銀行CA、國家計委電子政務(wù)CA、南海自然 人CA（NPCA） 2、區(qū)域性CA 協(xié)卡認證體系（上海CA、北京CA、天津CA） 網(wǎng)證通體系（廣東CA、海南CA、湖北CA、重慶CA） 3、獨立的CA認證中心 –?山西CA、吉林CA、寧夏西部CA、陜西CA、福建CA、黑龍 江郵政CA、黑龍江政府CA、山東CA、深圳CA 、吉林省政 府CA、福建泉州市商業(yè)銀行網(wǎng)上銀行CA、天威誠信CA

總結(jié)

以上是生活随笔為你收集整理的证书管理机构——CA（Certificate Authority）的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。